プラットフォーム
wordpress
コンポーネント
debugger-troubleshooter
修正版
1.3.3
CVE-2026-5130は、WordPress Debugger & Troubleshooterプラグインの特権昇格の脆弱性です。1.3.2以前のバージョンでは、wpdebugtroubleshootsimulateuserクッキーの値を検証せずにユーザーIDとして使用していました。これにより、攻撃者は任意のユーザーになりすまし、管理者権限を取得することが可能になります。影響を受けるバージョンは1.3.2以下です。バージョン1.4.0で修正されました。
WordPressのDebugger & TroubleshooterプラグインにおけるCVE-2026-5130は、認証されていない権限昇格を可能にします。バージョン1.3.2までのプラグインが脆弱です。問題は、プラグインが暗号化検証や認証チェックなしに、wpdebugtroubleshootsimulateuserクッキーの値を直接ユーザーIDとして受け入れることにあります。これにより、認証されていない攻撃者が、単にターゲットのユーザーIDにクッキーを設定するだけで、任意のユーザーになりすますことができます。この脆弱性を悪用すると、攻撃者が機密情報にアクセスしたり、他のユーザーになりすまして操作を実行したり、最悪の場合、WordPressウェブサイト全体を制御したりする可能性があります。
攻撃者は、管理者またはその他の特権ユーザーのユーザーIDの値を設定したクッキーを作成することで、この脆弱性を悪用する可能性があります。このクッキーは、ユーザーのブラウザでJavaScriptを介して設定したり、その他のクッキー操作技術を使用したりできます。クッキーが設定されると、プラグインはこの値を現在のユーザーを決定するために使用し、攻撃者がそのユーザーとして行動できるようになります。この脆弱性が簡単に悪用できるため、WordPressウェブサイトにとって重大なリスクとなります。
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対策は、Debugger & Troubleshooterプラグインをバージョン1.4.0以降に更新することです。このバージョンでは、wpdebugtroubleshootsimulateuserクッキーの値の適切な検証を実装し、現在のユーザーを決定する前に認証を確認することで、この問題を修正しています。その間、一時的な緩和策として、プラグインが絶対に必要でない場合は無効にすることをお勧めします。潜在的な攻撃からWordPressウェブサイトを保護するために、このアップデートをできるだけ早く適用することが重要です。
バージョン 1.4.0 以降、またはより新しいパッチ適用済みのバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
通常アクセスできない機能やデータに、限られた権限を持つユーザーがアクセスできる攻撃です。
Debugger & Troubleshooterプラグインのバージョンを確認してください。1.4.0より古い場合は脆弱です。
更新できるまでプラグインを一時的に無効にしてください。
すべてのプラグインとWordPressコアを最新の状態に保ち、強力なパスワードを使用し、Web Application Firewall (WAF)の導入を検討してください。
CVE脆弱性データベースで詳細情報を入手できます:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-5130
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。